Auslagerungsmanagement – von der Pflicht zur Kür



Regulatorische Anforderungen erfüllen UND Mehrwert für die Bank generieren

Heiko Günther, Auslagerungsbeauftragter, Bank für Sozialwirtschaft

         

I. Einleitung/Übersicht

Aus zahlreichen Quellen werden Anforderungen an das Auslagerungsmanagement gestellt. Neben den MaRisk sind dies zum Beispiel das Business Continuity Management (BCM) oder das Informationssicherheitsmanagement (ISM). Es handelt sich um Vorgaben zur Dokumentation der Risiken, Anwendung der Risikosteuerung oder Vorgaben zur aufbau-/ablauforganisatorischen Gestaltung des Auslagerungsmanagements und konsequenter Nutzung der Risikoeinwertung im Gesamthaus. Es gilt, diese (und weitere) Anforderungen und Schnittstellen zu erfüllen und effizient zu gestalten. Trotz des nicht vermeidbaren Aufwandes sollte der Fokus v. a. auf die Vorteile für die Bank gelegt werden. Zu den zentralen Herausforderungen gehört es, die Risiken aus den Fremdleistungen Dritter in das Operational-Risk-Management (ORM) und in das Non-Financial Risk Management (NFR) der Bank sinnvoll zu integrieren.

II. Umsetzung Auslagerungsmanagement in der BFS

1. Zentraler Auslagerungsbeauftragter, dezentrale Auslagerungsverantwortliche

In der Bank für Sozialwirtschaft (BFS) ist die Funktion des Auslagerungsbeauftragten zentral in der Organisation angesiedelt. Die Auslagerungsverantwortlichen befinden sich dezentral im jeweiligen Fachbereich. Über fachliche Grundsätze und die dazu gehörenden Prozesse ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Berührungspunkte zwischen Arbeitnehmervertretung und Interner Revision



Transparenz, Offenheit und Professionalität schaffen Vertrauen.

Diplom-Wirtschaftsmathematiker Diplom-Kaufmann Thomas Gossens, CIA CISA CRISC ACDA, Abteilungsleiter Revision Zentrale Aufgaben und Steuerung im Bereich Revision der Stadtsparkasse Düsseldorf.

I. Einleitung

Es kommt an verschiedenen Stellen im Innen- und Außenverhältnis der Internen Revision zu Berührungspunkten mit der Arbeitnehmervertretung: So können die Arbeitnehmervertretung oder ihre Mitglieder selbst im Fokus einer Revisionsprüfung stehen oder es gilt, gemeinsame Wege z. B. bei der Auswertung personenbezogener Daten in Prüfungen zu finden. Die Ausgestaltung der Internen Revision nach den anerkannten internationalen Berufsstandards mit den Themen Leistungsbewertung, Feedbackgespräche, Nachweis einer ausreichenden Fachkompetenz sowie Zeitaufschreibung ist ggf. gemeinsam mit der Arbeitnehmervertretung festzulegen. Transparenz, Offenheit und ein hoher Grad an Professionalität der Internen Revision werden in der Regel eine Basis dafür schaffen können, sensible Prüfungssituationen ohne Beschädigungen der Beteiligten zu meistern und von Interner Revision und Arbeitnehmervertretung gemeinschaftlich getragene konstruktive Ansätze zu entwickeln. So sollte es der Internen Revision auch in dieser besonderen Konstellation möglich sein, ausgerichtet am zu schaffenden Mehrwert die Notwendigkeit ihres Auftrags und die Anwendung ihrer verbindlichen Berufsstandards unter Berücksichtigung der Interessen der Beschäftigten angemessen zu vermitteln.

Im Folgenden werden die Berührungspunkte der Arbeitnehmervertretung mit der Internen Revision am Beispiel der ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Prüfung der Anzeigeverpflichtungen gemäß § 24 KWG i. V. m. AnzV – ausgewählte Anzeigen in Bezug auf Mandatsträger

Beurteilung der materiellen und formellen Ordnungsmäßigkeit der Anzeigeverpflichtungen gemäß KWG i. V. m. AnzV durch die Innenrevision.

Katja Ries, fachliche Leitung Spezialisten Team Aufsichtsrecht, Genossenschaftsverband e. V. – Verband der Regionen e. V. und AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft.

I. Einleitung

Damit die BaFin und die Deutsche Bundesbank ihrer in § 6 Abs. 2 KWG kodifizierten Aufgabe, der Aufsicht über Institute, nachkommen können, benötigen die Aufsichtsbehörden u. a. dezidierte Kenntnisse über die Mandatsträger in den Instituten.

Mit den Art. 88 bis 96 CRD IV wurden – als eine Reaktion auf die Finanzmarktkrise – höhere Anforderungen an die Unternehmensführung und -kontrolle in das europäische Regelwerk aufgenommen. Die Umsetzung in deutsches Recht erfolgte über das CRD IV-Umsetzungsgesetzt und findet seinen Niederschlag u. a. in den § 25c KWG – Mitglieder der Geschäftsleitung – sowie § 25d KWG – Mitglieder des Aufsichtsorgans.

Die Trennung der Leitungsfunktion resultiert hierbei aus dem in Deutschland bestehenden dualistischen System, in dem Unternehmensführung und Unternehmenskontrolle von unterschiedlichen Gremien wahrgenommen werden.

Weiterhin hat die EBA in Zusammenarbeit mit der ESMA die Leitlinien zur internen Governance (EBA/GL/2017/12) mit Wirkung zum 30.06.2018 überarbeitet, die u. a. die Beurteilung der Eignung von Mitgliedern des Leitungsorgans beinhalten.

§ 25c KWG sowie § 25d KWG kodifizieren die Anforderungen an die Mandatsträger. So müssen diese fachlich geeignet bzw. sachkundig sowie zuverlässig sein. Des Weiteren müssen sie über ausreichend Zeit verfügen, um ihre Aufgaben wahrnehmen zu können. In diesem Kontext ist auch die Begrenzung der Mandatsanzahl zu sehen. Die Konkretisierung des § 25c KWG sowie § 25d KWG erfolgt durch die Merkblätter der BaFin, die u. a. Erläuterungen zu persönlichen und fachlichen Anforderungen an die Organmitglieder sowie Hinweise zum anzeigepflichtigen Personenkreis beinhalten.

Damit die Aufsicht die Einhaltung der beschriebenen Anforderungen beurteilen kann, enthält § 24 KWG i. V. m. AnzV eine Vielzahl von Anzeigetatbeständen, die die personellen Gegebenheiten und deren Veränderungen in Instituten zum Inhalt haben.

Durch die Überarbeitung der Anzeigenverordnung (AnzV), die am 08.12.2016 in Kraft getreten ist, haben sich vor allem hinsichtlich den im Kontext mit personellen Anzeigen zum Einsatz kommenden Formularen Änderungen ergeben.

II. Die Prüfung der Anzeige-Verpflichtungen gem. § 24 KWG i. V. m AnzV – hier: ausgewählte Tatbestände bezüglich Mandatsträger – durch die Interne Revision

1. Vorbemerkung

Das Mandat der Internen Revision zur Prüfung der Anzeigeverpflichtungen nach § 24 KWG i. V. m. AnzV ergibt sich aus AT 4.4.3 Tz. 3 i. V. m. BT 2.3 Tz. 1 der MaRisk. Prüfungsziel ist die Beurteilung der materiellen und formellen Ordnungsmäßigkeit der o. g. Anzeigenverpflichtungen. Es ist zu prüfen, ob sowohl die organisatorischen Regelungen (z. B. in Form eines Prozesses) zum Anzeigewesen nach § 24 KWG i. V. m. AnzV als auch deren Ergebnisse in Form der erstatteten Anzeigen den aufsichtsrechtlichen Anforderungen genügen.

Als Prüfungsunterlagen können – neben den gesetzlichen Regelungen sowie den Merkblättern der BaFin (als Soll-Konzept) – beispielhaft die von der Aufsicht veröffentlichten Checklisten, organisatorischen Regelungen des Instituts, Unterlagen zu den personellen Gegebenheiten (z. B. Protokollbuch zu Vorstands- und Aufsichtsratssitzungen) sowie die erstatteten Anzeigen im Prüfungszeitraum und des Vorjahres genannt werden.

Die Deutsche Bundesbank stellt die zum Einsatz kommenden Formulare auf ihrer Homepage zur Verfügung: Startseite-Service-Meldewesen-Bankenaufsicht-Formular-Center-Formulare[1]. Des Weiteren finden sich auf dieser Homepage u. a. diverse weitere Informationen zum Thema.

2. Implementierung eines formellen Verfahrens zum Anzeigewesen

Es bietet sich an, die Zuständigkeiten für die einzelnen Anzeigetatbestände im Rahmen einer Arbeitsanweisung, z. B. in Form eines Prozesses (zielführend vor allem bei größeren Instituten), zu regeln. Hierbei ist darauf zu achten, dass ein adäquater Informationsfluss gewährleistet wird, der sicherstellt, dass Anzeigetatbestände erkannt und unverzüglich angezeigt werden.

Exemplarische Darstellung einer Auswahl von Anzeigetatbeständen mit der Zuordnung von Zuständigkeiten als Bestandteil eines formellen Verfahrens/Arbeitsanweisung/Prozesses (Institut unterliegt der Aufsicht der BaFin und Bundesbank).

Tabelle 1: Exemplarischer Auszug aus einer Arbeitsanweisung

Die Anzeigen müssen unverzüglich, d. h. ohne schuldhaftes Zögern (§ 121 BGB) erstattet werden. Bei einigen Anzeigen wird die Anzeigeverpflichtung bereits bei der Absicht einer bestimmten Handlung ausgelöst. So ist z. B. die Absicht, einen Geschäftsleiter zu bestellen, unverzüglich anzuzeigen (vgl. § 24 Abs. 1 Nr. 1 KWG). Die Aufsicht hat in 2016 ihre Auslegung zum Begriff „unverzüglich“ im Zusammenhang mit der Bestellung von Geschäftsleitern bzw. Verwaltungs-/Aufsichtsratsmitgliedern sowie der Absicht der Bestellung von Geschäftsleitern dargelegt.

Weitere diesbezügliche Erläuterungen erfolgen unter 3. a) sowie 3. b).

3. Prüfung ausgewählter Anzeigetatbestände zu Mandatsanzeigen gem. § 24 KWG i. V. m. AnzV

Aufgrund der Vielzahl und der Komplexität der Tatbestände nach § 24 KWG erfolgt im Folgenden die Darstellung einzelner ausgewählter Anzeigeerfordernisse bezüglich der Mandatsträgeranzeigen. Die Auswahl orientiert sich an der Praxisrelevanz für die Kreditinstitute.

Von Interesse für die Aufsicht sind vor allem die Zusammensetzung der Organe (Geschäftsleitung und Aufsichtsrat-/Verwaltungsrat) als auch die Qualifikation und Zuverlässigkeit der einzelnen Mitglieder. Daneben sind im Rahmen des Bestellungsverfahrens u. a. auch Angaben zu weiteren Mandaten erforderlich. Dies dient der Beurteilung, ob der (designierte) Mandatsträger über ausreichend Zeit verfügt, um das Amt adäquat wahrzunehmen.

Im Zuge der Überarbeitung der AnzV erfuhren die bisherigen Regelungen eine deutliche Ausweitung (§§ 5–5f AnzV). Die neuen Regelungen berücksichtigen verstärkt die jeweiligen Merkblätter der BaFin zu Geschäftsleitern (§ 25c KWG) und zu Aufsichts-/Verwaltungsräten (§ 25d KWG) – vor allem hinsichtlich der Mandatsangaben und der zeitlichen Verfügbarkeit. Des Weiteren wurden über die AnzV neue Formulare etabliert.

Im Folgenden werden die Tatbestände gem. §§ 24 Abs. 1 Nr. 1, 2, 15, 15a KWG thematisiert, nicht jedoch die Anzeigeerfordernisse nach § 24 Abs. 1a Nr. 8 KWG, die Anzeigetatbestände, die ausschließlich von bedeutenden CRR-Instituten zu erfüllen sind sowie die in § 24 Abs. 3 KWG kodifizierten Anzeigetatbestände. Letztgenannte sind durch die Geschäftsleiter selbst zu erstatten und betreffen deren Nebentätigkeiten und Beteiligungen.

a) Geschäftsleiter

Gemäß § 24 Abs. 1 Nr. 1 KWG ist die Absicht einer Bestellung sowie die Bestellung eines Geschäftsleiters anzuzeigen. Neben den Formularen „personelle Veränderungen bei Geschäftsleitern von Instituten …“ (PVGLSI – Anl. 1 der AnzV) und „Angaben zur Zuverlässigkeit, zeitlichen Verfügbarkeit und zu weiteren Mandaten im Geltungsbereich des Kreditwesengesetzes der Geschäftsleiterin/des Geschäftsleiters …“ (PVZLSI – Anl. 2a) sind als Anlagen eine Vielzahl von Unterlagen bei der Aufsicht vorzulegen: dezidierter Lebenslauf (§ 5a AnzV), Strafverfahren etc. (§ 5b AnzV), Führungszeugnis (§ 5c AnzV) sowie Auszug aus dem Gewerbezentralregister (§ 5d AnzV).

Die BaFin hat auf ihrer Homepage Checklisten veröffentlicht, die alle einzureichenden Unterlagen aufführen. Hiermit soll die Vollständigkeit der einzureichenden Unterlagen gewährleistet werden.

Die Anlagen 10 (PVFU) und 11 (PVFP) der AnzV, die zwar nur von den durch die EZB direkt beaufsichtigten Instituten einzureichen sind, können auch von nicht bedeutenden Instituten zur Sicherstellung der Vollständigkeit als Orientierung genutzt werden. Die im Rahmen des Bestellungsverfahrens erforderlichen Führungszeugnisse bzw. Auszüge aus dem Gewerbezentralregister sind – in Abweichung von der grundsätzlichen Regelung der Adressaten – aus Kostengründen nur der BaFin und nicht der Deutschen Bundesbank zuzuleiten (vgl. § 5c Abs. 1 und § 5d Abs. 1 S. 1 AnzV).

Die Absicht einer Bestellung eines Geschäftsleiters ist unverzüglich nach der Entscheidung des zuständigen Organs für einen Bewerber anzuzeigen. Zielsetzung dieser zeitlich vorgelagerten Anzeige ist die Beurteilung durch die Aufsicht, ob der designierte Geschäftsleiter alle Voraussetzung der §§ 32,33, 25c KWG i. V. m. dem Merkblatt der Aufsicht zu Geschäftsleitern erfüllt.

Gemäß Auslegung der Aufsicht zum Begriff „unverzüglich“ geht die BaFin dabei regelmäßig nicht davon aus, dass eine Anzeige unverzüglich erfolgt ist, wenn ein Zeitraum von vier Wochen nach Entscheidung des zuständigen Organs überschritten ist. Das Behördenführungszeugnis und der Gewerbezentralregisterauszug müssen innerhalb der o. a. Frist zumindest beantragt worden sein.

Ebenfalls anzeigepflichtig sind die Änderung sowie die Aufgabe der Absicht der Bestellung eines Geschäftsleiters (Formular PVGLSI). Eine Änderung der Bestellungsabsicht liegt z. B. auch dann vor, wenn sich der Zeitpunkt des Vollzugs ändert.

Die Vollzugsanzeige (Formular PVGLSI) wird ausgelöst, wenn der Geschäftsleiter rechtswirksam bestellt worden ist. Primär wird hierbei auf die Aufnahme der Tätigkeit abgestellt. Die Anzeige informiert die Aufsicht über die aktuelle Zusammensetzung des Geschäftsleitungsgremiums.

Die Anzeigepflicht gem. § 24 Abs. 1 Nr. 1 KWG gilt auch für die Bestellung eines Geschäftsleiter-Vertreters, der im Fall der Verhinderung eines Geschäftsleiters dessen Funktion ausüben soll. Ebenso ist die Absicht der Bestellung eines nebenamtlichen Geschäftsleiters anzuzeigen. Bei ehrenamtlichen Vorstandsmitgliedern von Kreditgenossenschaften verzichtet die BaFin allerdings in langjähriger Verwaltungspraxis auf die Weiterleitung von Bestellungsanzeigen durch den jeweiligen Prüfungsverband.

Die Anzeige bezüglich des Ausscheidens von Geschäftsleitern gem. § 24 Abs. 1 Nr. 2 KWG dient der Aufsicht der Beurteilung der aktuellen Zusammensetzung des Leitungsgremiums sowie der Überwachung, ob auch nach dem Ausscheiden des Geschäftsleiters, das Vier-Augen-Prinzip gem. § 33 Abs. 1 Nr. 5 KWG erfüllt ist. Die Anzeige ist gem. § 5e Abs. 1 Nr. 1 AnzV unverzüglich bei Eintritt des Ausscheidegrunds unter Verwendung des Formulars PVGLSI einzureichen. Im Formular ist u. a. der Grund des Ausscheidens, z. B. Erreichen der Altersgrenze, Tod, berufliche Veränderung, aber auch Unredlichkeit, anzugeben. Für die Aufsicht ist vor allem letzterer Grund von besonderem Interesse, denn ggf. könnte ein anderes Institut zu einem späteren Zeitpunkt eben diese Person zum Geschäftsleiter bestellen wollen.

Tabelle 2: Exemplarische Prüfungsfragen zu Anzeigen von Geschäftsleitern gem. §§ 24 Abs. 1 Nr. 1 und 2 KWG

b) Aufsichts-/Verwaltungsratsmitglieder

Die Bestellung von Mitgliederns und stellvertretenden Mitgliedern des Verwaltungs- oder Aufsichtsorgans erfolgt u. a. unter Angabe der Tatsachen, die zur Beurteilung ihrer Zuverlässigkeit, Sachkunde und der ausreichenden zeitlichen Verfügbarkeit für die Wahrnehmung ihrer Aufgaben notwendig sind (§ 24 Abs. 1 Nr. 15 KWG). Das Ausscheiden eines Mitglieds und stellvertretender Mitglieder des Verwaltungs- oder Aufsichtsorgans ist gem. § 24 Abs. 1 Nr. 15a KWG ebenfalls ein anzeigepflichtiger Tatbestand.

Die Anzeigen sind gem. § 5 Abs. 2 Nr. 1 AnzV sowie § 5e Abs. 2 Nr. 1 AnzV unter Verwendung des Formular PVVALSI (Anl. 2 AnzV) zu erstatten. Des Weiteren ist ebenfalls das Formular PVZLSI (Anl. 2a AnzV) unter Beachtung der §§ 5a–d AnzV einzureichen. Hierbei gelten die obigen Ausführungen unter 3.1. analog. Es ist zu beachten, dass gemäß Positionierung der BaFin die Anzeigepflicht auch für ein stellvertretendes Mitglied eines Kontrollorgans zum Zeitpunkt seiner Wahl, unabhängig von seinem tatsächlichen Einsatz, gilt.

Die Anzeigepflicht für Ersatzmitglieder wird hingegen erst durch das tatsächliche Nachrücken des Ersatzmitglieds ausgelöst.

Hinsichtlich der Frage der „Unverzüglichkeit“ der Anzeige geht die BaFin regelmäßig nicht mehr davon aus, dass eine Anzeige unverzüglich erfolgt ist, wenn ein Zeitraum von vier Wochen nach der Bestellung überschritten ist. Das Behördenführungszeugnis und der Gewerbezentralregisterauszug müssen innerhalb der o. a. Frist zumindest beantragt worden sein.

Tabelle 3: Exemplarische Prüfungsfragen zu Mitgliedern des Kontrollorgans gem. §§ 24 Abs. 1 Nr. 15, 15a KWG

c) Fusionsanzeigen

Die unter 3. a) sowie 3. b) thematisierten Anzeigeverpflichtungen sind auch im Zuge von Fusionen zu beachten.

Besteht die Absicht, dass ein Geschäftsleiter des übertragenden Instituts auch Geschäftsleiter in dem fusionierten Institut werden soll, behält sich die Aufsicht die Beurteilung vor, ob die bisher vorliegenden Voraussetzungen an die fachliche Eignung des Geschäftsleiters auch für das fusionierte Institut angemessen sind. Des Weiteren ist das Ausscheiden von Geschäftsleitern anzuzeigen. Analog zu diesen Anzeigen sind der Aufsicht auch die Veränderungen im Aufsichtsrat (Bestellung, Ausscheiden) mitzuteilen.

Das jeweilige Procedere erfolgt weitestgehend analog zu den bereits dargestellten Verfahren. Den Anzeigen sind die in §§ 5a–d AnzV geforderten Unterlagen – jedoch jeweils nur in aktualisierter Form (soweit diese der Aufsicht bereits aus früheren Anzeigen vorliegen) – beizufügen. Im Einzelfall kann die BaFin auf die Anzeige bzw. auf einzelne Unterlagen verzichten.

Tabelle 4: Exemplarische Prüfungsfragen zu Mandatsanzeigen gem. §§ 24 Aba. 1 Nr. 1, 2, 15, 15a KWG i. V. m. Fusionen

PRÜFUNGSTIPPS

  • Prüfen Sie, ob sichergestellt ist, dass Veränderungen oder beabsichtige Veränderungen hinsichtlich der Geschäftsleitung den für das Anzeigewesen Zuständigen bekannt sind.
  • Da sich Veränderungen bezgl. der Mandate im Kontrollorgan meist u. a. nach den Hauptversammlungen sowie General-/Vertreterversammlungen ergeben, verwenden Sie das entsprechende Protokoll als Prüfungsunterlage.
  • Auch bezüglich weiterer Veränderungen bei den Mandatsträgern nutzen Sie das Protokollbuch zu Vorstands- und Aufsichtsratssitzungen als Informationsquelle.
  • Zusätzlich zu den gesetzlichen Grundlagen ziehen Sie:
    • das Merkblatt zu den Geschäftsleitern gem. KWG, ZAG und KAGB,
    • das Merkblatt zu den Mitgliedern von Verwaltungs- und Aufsichtsorganen gem. KWG und KAGB,
    • von der Aufsicht zum Thema veröffentlichte Checklisten sowie Auslegungen und
    • einen KWG-Kommentar

zur Prüfung heran.

  • Legen Sie besonderes Augenmerk auf die Angabe zu weiteren Mandaten und der zeitlichen Verfügbarkeit:
    • Werden alle relevanten Mandate angegeben?
    • Wird bei der Ausübung mehrerer Mandate die geschätzte Anzahl der Arbeitstage pro Jahr angegeben?

Darstellungsbeispiel:

Tabelle 5: Exemplarische Darstellung für die Mandate eines Aufsichtsratsmitglieds

  • Werden bei Aufsichtsratsmandaten neben der Sitzungszeit auch die Zeiten der Vor- und Nachbereitung einbezogen?
  • Prüfen Sie bei Vorliegen des rechtlichen Vollzugs einer Fusion, welche weiteren, im obigen Text dargestellten, Anzeigenotwendigkeiten vorliegen.

 

Beitragsnummer: 72936

 

Auslagerungsmanagement und Risikoanalyse nach AT 9 MaRisk

Aus den Augen, aus dem Sinn?

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Die Auslagerung – tragende Rolle auf vielen Bühnen

Das Thema Auslagerung spielt schon seit längerer Zeit eine tragende Rolle auf diversen Bühnen. Die erste dieser Bühnen ist die der internationalen Papiere, die zu diesem Thema veröffentlicht wurden. Zu nennen sind hier insbesondere Veröffentlichungen des Joint Forums (Zusammenschluss des Baseler Ausschusses für Bankenaufsicht, der IOSCO[1] und der IAIS[2]), der CEBS[3] und der EBA[4] sowie verschiedene Vorgaben der deutschen Aufsicht im Rahmen der MaRisk und des § 25b KWG[5].

Die zweite Bühne ist die der betriebswirtschaftlich sinnvollen Arbeitsteilung (Schlagwort: “Konzentration auf Kernkompetenzen”) und die dritte Bühne ist die der sehr dynamischen Entwicklung der Kreditwirtschaft in diesem Bereich.

Doch eins nach dem anderen…

II. Die Auslagerung – unser Protagonist

Zunächst eine Vorstellung unseres Protagonisten: die Auslagerung, auch bekannt als Outsourcing.

Outsourcing ist ein Kunstwort, das sich aus den drei englischen Wörtern „Outside“, „Ressource“ und „Using“ zusammensetzt. Wörtlich übersetzt bedeutet es in erster Linie „Nutzung externer Ressourcen“. Und das ist auch genau das, was das deutsche Wort „Auslagerung“ insbesondere im Sprachgebrauch der BaFin meint: Eine Auslagerung liegt dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden.

 

III. Die Auslagerung – Vielseitigkeit ist ihre Stärke, aber wo Licht ist, da ist auch
Schatten

Schon diese Definition macht deutlich, dass sehr unterschiedliche Auslagerungskonzepte nicht nur denkbar sind, sondern auch genutzt werden. Am einen Ende der Skala werden lediglich einzelne Unterstützungsaufgaben oder Nebentätigkeiten auf Dritte verlagert. Dies ist ganz im Sinne der oben schon erwähnten Konzentration auf Kernkompetenzen. Warum sollte sich eine Bank selbst um Dinge wie Transport zwischen Filialen, Archivierung oder die Mitarbeiterkantine kümmern? Das können andere Anbieter im Zweifel besser und günstiger. Hier überwiegen Vorteile wie Gewinnung von Kosten- und Prozesseffizienzen, Nutzung von Skaleneffekten und Qualitätsverbesserung ganz eindeutig. Zwar dürfen auch solche Aktivitäten und Prozesse nicht ganz aus den Augen verloren werden, stehen aber nicht im Fokus der Aufsichtsbehörden.

Am anderen Ende der Skala findet sich allerdings die Auslagerung ganzer Prozessketten, kompletter bankbezogener Funktionen sowie zentraler Bereiche[6]. Hierfür interessiert sich die Bankenaufsicht naturgemäß sehr wohl. Als Risiko droht nämlich neben Zersplitterung von Prozessen, Verringerung des internen Know-hows oder Unsicherheiten bei der Kostenentwicklung, die Abhängigkeit von einem Drittunternehmen und damit Verlust von Zugriffsmöglichkeiten sowohl für die gesetzlichen Vertreter der auslagernden Bank als auch für die Aufsicht. Deshalb die Botschaft des AT 9 MaRisk: Die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten verbleibt weiterhin (und nicht delegierbar) bei den gesetzlichen Vertretern des auslagernden Unternehmens. Dies umfasst insbesondere ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezüglich der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters beinhaltet.

IV. Das zentrale Auslagerungsmanagement – hier laufen die Fäden zusammen

Bezüglich dieser Implementierung eines eigenen Internen Kontrollsystems bezüglich der ausgelagerten Tätigkeit geht die Aufsicht – zumindest bei größeren Instituten bzw. bei Instituten mit umfangreichen Auslagerungslösungen – davon aus, dass ein zentrales Auslagerungsmanagement eingerichtet ist, so dass eine Stelle in der Bank einen Gesamtüberblick über alle ausgelagerten Aktivitäten und Prozesse hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt wird. AT 9 Tz. 12 nennt als Aufgaben des zentralen Auslagerungsmanagements:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen)
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalysen

Zudem hat das zentrale Auslagerungsmanagement mindestens einmal im Jahr einen Bericht über die wesentlichen Auslagerungen zu erstellen. Dabei hat der Bericht u. a. darüber eine Aussage zu treffen, „…, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden und ob weitere risikomindernde Maßnahmen ergriffen werden sollen“ (AT 9 Tz. 13 MaRisk).

Ein so verstandenes Einbeziehen der Auslagerungen in das unternehmensweite Risikomanagement geht über die historische Form des operativen Risikomanagements, dessen Fokus primär auf die Risikovermeidung und -minderung ausgelegt war, hinaus. Hauptziel ist das effiziente und effektive Management der ausgelagerten Bereiche, welches alle wesentlichen Einzelrisiken und deren Abhängigkeiten umfasst. Das risikoorientierte Management der ausgelagerten Bereiche hat das Ziel, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Auslagerungsverhältnisses hinweg zu etablieren. Ein moderner chancen- und risikoorientierter Auslagerungsmanagementansatz integriert die Organisation, die Aufgaben und die Instrumente in ein ganzheitliches Rahmenwerk.

Und Randnotiz oder Zwischenbemerkung: In der Praxis ergibt sich in vielen Banken ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, weil beauftragte Dienstleister ihrerseits Auslagerungen (Weiterverlagerungen) vornehmen.

V. Die Risikoanalyse – aus den Augen, aber weiterhin fest im Blick

Sofern eine Auslagerung vorliegt (wir erinnern uns: wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden), muss jedes Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Wenn wir uns an die oben beschriebenen äußeren Enden einer Skala erinnern, so fällt die Beurteilung der Wesentlichkeit für diese Extreme sicherlich noch relativ leicht. Spannend sind hier eher die Auslagerungen, die sich tendenziell in der Mitte der Skala befinden und sich möglicherweise im Laufe der Zeit durch Vertragsänderungen oder besondere Feststellungen in die eine oder andere Richtung verschieben.

Eine Risikoanalyse ist zunächst für jede neue Auslagerung auf der Grundlage einheitlicher Rahmenvorgaben vor Vertragsabschluss durchzuführen.

Eine erneute Risikoanalyse ist bei Änderungen der Auslagerungsdienstleistung sowie dann erforderlich, wenn dem auslagernden Institut Umstände bekannt werden, die darauf schließen lassen, dass sich die bei der Risikoanalyse verwendeten Risikofaktoren verändert haben (anlassbezogene Risikoanalyse). Praktische Beispiele hierzu sind gesellschaftsrechtliche Veränderungen beim Dienstleister, Veränderungen beim Dienstleistungsumfang, Bekanntwerden wesentlicher Feststellungen im Rahmen von Prüfungen beim Dienstleister etc.

Zudem ist die Risikoanalyse in regelmäßigen Zeitabständen zu erneuern, auch wenn kein Anlass besteht (regelmäßige Risikoanalyse). Auf der Sitzung des Fachgremiums MaRisk am 15.03.2018 hat die Aufsicht einen Zeitraum von einem Jahr bei wesentlichen und von drei Jahren bei unwesentlichen Auslagerungen für angemessen erachtet.

Jedes Institut hat auf Basis von vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleisterqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können, um die mit der Auslagerung verbundenen Risiken angemessen zu steuern, bzw. ob weitere risikomindernde Maßnahmen ergriffen werden sollen. Hierzu werden dem auslagernden Unternehmen vom Dienstleistungserbringer Informationen und Berichte im Zusammenhang mit der Dienstleistungserbringung zur Verfügung gestellt. Diese Informationen und Berichte sind auszuwerten.

Hier eine mögliche Arbeitshilfe für die Erstellung einer Risikoanalyse:

VI. Der große Rahmen – warum ist der Aufsicht der richtige Umgang mit Auslage-
rungen so wichtig?

Da sich Auslagerungen in vielen Fällen auch auf aufsichtliche Vorgaben beziehen (z. B. die Einhaltung von Vorgaben zur Geschäftsorganisation, bestimmte Entscheidungsprozesse und Berichtswege), spielen Auslagerungen von Banken an Drittanbieter, die i. d. R. keine Banken sind, für die Aufsicht eine bedeutende Rolle. Denn das beaufsichtigte Institut bleibt als Träger der Bankerlaubnis für die sachgerechte Umsetzung der aufsichtlichen Vorgaben letztendlich verantwortlich, auch wenn es Funktionen, Aufgaben und Prozesse auslagert.

Die Regelungen zur Auslagerung sind letztlich Teil der allgemeinen Grundsätze ordnungs-mäßiger Geschäftsführung. Die Spezialregelungen des § 25b KWG ergänzen (hinsichtlich ihrer Stellung im KWG nicht ganz überraschend) die Anforderungen an eine ordnungsgemäße Ge-schäftsorganisation aus § 25a KWG, insbesondere die Anforderungen an ein angemessenes und wirksamen Risikomanagement (§ 25a Abs. 1 Satz 3 KWG). Die Aufsicht sieht ihre Aufgabe darin, der möglichen Gefahr zu begegnen, dass das leistungsbeziehende Institut mit einer Auslagerung die Kontrolle über die ordnungsgemäße Durchführung der Geschäfte und Dienstleistungen und damit über die eigenen Aktivitäten und Prozesse verliert. Kurz: „Aus den Augen, aus dem Sinn” (in der Bedeutung nach wiktionary.org „sofortiges Vergessen einer Angelegenheit, Sache, Person oder dergleichen, sobald sie „außer Sichtweite ist“) soll verhindert werden. Das übrigens auch aus Sicht eines weiteren Akteurs, den wir bisher noch nicht betrachtet haben: des Jahresabschlussprüfers.

 

 

VII. …und darüber hinaus – auch der Jahresabschlussprüfer interessiert sich für
Auslagerungen

Dazu lasen wir mal die Einleitung eines aktuellen Werkes, das sich an Abschlussprüfer richtet[7], auszugsweise zu Wort kommen: „Der Abschlussprüfer wird sich im Hinblick auf seine Prüfungsplanung damit auseinandersetzen müssen, in welchem Umfang und in welchem Ausmaß Auslagerungen stattfinden und welche Fehlerrisiken für die Rechnungslegung darin enthalten sind. Um diesen Fehlerrisiken adäquat zu begegnen, gilt es, bedeutsame Kontrollen auf Seiten des Dienstleisters zu identifizieren und anhand geeigneter Prüfungshandlungen zu beurteilen. Aber oftmals scheitern eigene Prüfungshandlungen an der räumlichen Trennung oder der Größe und Komplexität des Dienstleisters. Natürlich könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen. Vor dem Hintergrund automatisierter und aufeinander abgestimmter Prozessabläufe ist dies jedoch eine mühsame und beinahe unmögliche Methode, um die erforderliche Prüfungssicherheit zu erlangen. Möglicherweise gibt es aber auch Nachweise über das IKS beim Dienstleistungsunternehmen, die er verwerten oder gar verwenden kann.“

Da sind wir wieder bei den oben schon erwähnten „Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung”, die das auslagernde Institut dem Abschlussprüfer (bitte ausgewertet!) zur Verfügung stellt. Genannt seien hier explizit Prüfungsberichte bzw.
-bescheinigungen nach IDW PS 951[8] „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen”[9]. Und lassen Sie sich von jemandem, der selbst Abschlussprüfer ist, sagen, dass das was hier so scheinbar harmlos daher kommt („… könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen.“), erstens (viel) Zeit kostet und Zeit ist Geld (Stichwort „Prüfungskosten“) und zweitens im schlimmsten Fall auch ernste Konsequenzen hat: Wenn der Abschlussprüfer nicht in der Lage ist, ausreichende und angemessene Prüfungsnachweise bezüglich des Dienstleistungsunternehmens zu erlangen, die für die Prüfung des Abschlusses des auslagernden Unternehmens relevant sind, ist das Prüfungsurteil im Bestätigungsvermerk einzuschränken oder gar zu versagen.

Und da sind wir dann ganz schnell wieder bei den „Anforderungen an eine ordnungsgemäße Geschäftsorganisation aus § 25a KWG“ und der nicht delegierbaren Gesamtverantwortung der gesetzlichen Vertreter des auslagernden Unternehmens für alle ausgelagerten Prozesse und Aktivitäten.

VIII. Fazit – „des Pudels Kern“

Kerngedanke des Auslagerungsmanagements ist, dass auch im Falle einer Auslagerung die Funktionsfähigkeit der auslagernden Bank jederzeit gewährleistet sein muss, die Verantwortung des Vorstandes unangetastet bleibt, Kontroll- und Überwachungspflichten unverändert beachtet werden und – last but not least – die Aufsicht weiterhin Zugriff auf die ausgelagerten Teile behält. Also alles andere als „aus den Augen, aus dem Sinn”.

PRAXISTIPPS

  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung weiterhin die Gesamtverantwortung tragen, nicht das Dienstleistungsunternehmen; lassen Sie sich bezüglich Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung nicht mit pauschalen Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Auslagernder selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Die Auswertung der Berichterstattung der Dienstleistungsunternehmen ist zentraler Baustein der Dienstleistersteuerung – aus Sicht der Bankenaufsicht z. B. im Rahmen von § 44- KWG-Sonderprüfungen „ist nur ein ausgewerteter Bericht ein gültiger Bericht“.
  • Gestaltet Sie Ihre (ausgelagerten) Prozesse durch eine zentrale Dienstleistersteuerung effizient.
  • Achten Sie darauf, dass in (neuen oder geänderten) Auslagerungsverträgen die Durchführung von Prüfungshandlungen vor Ort durch Sie als auslagerndes Unternehmen ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Stellen Sie sicher, dass Sie Ihrer Pflicht zur Dokumentation von ausgelagerten Prozessen nachkommen können. Fordern Sie also von den Dienstleistern ein, die auf ihn ausgelagerten (Teil-)Prozesse nachvollziehbar zu dokumentieren und an Sie als auslagerndes Unternehmen herauszugeben.
  1. IOSCO: International Organisation of Securities Commissions (internationale Organisation der Wertpapieraufsichtsbehörden).
  2. IAIS: International Association of Insurance Supervisors (internationale Vereinigung der Versicherungsaufsichtsbehörden).
  3. CEBS Committee of European Banking Supervisors (Ausschuss der Europäischen Bankaufsichtsbehörden); bis 2010 Vorgängerinstitution der EBA.
  4. EBA: European Banking Authority (Europäische Bankenaufsichtsbehörde).
  5. Joint Forum: Outsourcing in Financial Services, Februar 2005; CEBS Guidelines on Outsourcing, Dezember 2006, EBA: Guidelines on Internal Governance, September 2017.
  6. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nur in sehr engen Grenzen möglich (vergl. AT 9 Tz. 5 MaRisk).
  7. Tritschler/Lamm „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“, IDW Verlag GmbH, 1. Aufl. 2018, S. 10,11
  8. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 951 n.F.
  9. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung nach IDW PS 951 gem. Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:
    – Beschreibung des dienstleistungsbezogenen internen Kontrollsystems

    • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
    • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

    Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Auslagernden bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichem Zeitaufwand respektive höheren Kosten verbunden.

 

Beitragsnummer: 71003

 

Mehr Sicherheit im Zahlungsverkehr

Die PSD2 im Fokus der Internen Revision

Marcus Theil, FINCON Unternehmensberatung GmbH

Fragen Sie doch einmal die Zahlungsverkehrsspezialisten in Ihren Kreditinstituten nach bedeutsamen Terminen in 2019. Ein Datum dürfte dann auf jeden Fall genannt werden, denn zum 14.09.2019 treten die technischen Regulierungsstandards (EBA-RTS) zur starken Kundenauthentifizierung und zu sicheren offenen Kommunikationsstandards in Kraft. Mit den EBA-RTS wird ein wichtiger Bestandteil der zweiten EU-Zahlungsdiensterichtlinie (EU 2366/2015, PSD2) wirksam. Gleichzeitig wird die Sicherheit der Zahlungsverkehrsprozesse noch ein Stück weiter als bisher in den Fokus von europäischer und nationaler Aufsicht gerückt.

Starke Kundenauthentifizierung als (neuer) Grundsatz

Bereits Art. 97 PSD2 sieht vor, dass Zahlungsdienstleister von ihren Nutzern nicht nur beim (Online-)Zugriff auf Zahlungskonten und bei der Auslösung von Transaktionen eine starke Kundenauthentifizierung verlangen. Auch bei allen weiteren Vorgängen, die das Risiko eines Betrugs oder sonstigen strafbaren Handlung bergen, muss diese vom Kunden eingeholt werden.

Die EBA-RTS spezifizieren diese Anforderungen, indem sie festlegen, welchen Anforderungen die starke Kundenauthentifizierung (SCA) genügen muss (vgl. Art. 4-9 EBA-RTS). Dies sind zum Beispiel:

  • die Abfrage von mindestens zwei unabhängig voneinander bestehenden Authentifizierungskriterien aus den Kategorien Wissen (z. B. PIN-Code), Besitz (z. B. Token) oder Inhärenz (biometrische Faktoren, z. B. Fingerabdruck),
  • die dynamische Verknüpfung von Transaktions- und Kontodaten mit dem generierten Authentifizierungscode (z. B. TAN), so dass dieser ausschließlich für den auslösenden Kunden und den jeweiligen Zahlungsbetrag gilt,
  • die Fälschungssicherheit von Authentifizierungscodes und die Unmöglichkeit, aus einem bekannten Code weitere gültige Authentifizierungscodes zu berechnen sowie
  • die Absicherung des Online-Zugangs, z. B. durch die Festlegung einer maximalen Anzahl von fehlgeschlagenen Anmeldeversuchen und der automatischen Abmeldung vom Online-Zugang bei Inaktivität.

Damit dürften die meisten der aktuell gängigen Authentifizierungsverfahren bereits heute den Anforderungen der EBA-RTS genügen. Der Teufel steckt jedoch auch hier – wie meistens – im Detail, so dass sich ein Blick darauf „mit der Revisionsbrille“ durchaus lohnen kann. Bei Instituten, die ihren Kunden jedoch noch ältere Verfahren anbieten (z. B. indizierte TAN-Verfahren), besteht diesbezüglich in jedem Fall Handlungsbedarf.

Darüber hinaus ist kritisch zu hinterfragen, welche Geschäftsvorfälle im Online-Banking angeboten werden und ob diese durch eine SCA abgesichert werden müssen. Denn auch Geschäftsvorfälle, die nicht unmittelbar in einem Zusammenhang mit einer Transaktion stehen, können durchaus mit einem Risiko verbunden sein. Die Veränderung von Online-Banking-Limits durch den Kunden oder der Versand von Textnachrichten an den Kundenberater (die einen konkreten Arbeitsauftrag beinhalten) sind hier gute Beispiele.

TAN-los bezahlen – aber sicher?!

Keine Regel ohne Ausnahme – so ist auch bei der SCA. In den Artikeln 10 bis 18 der EBA-RTS definiert der europäische Gesetzgeber neun Ausnahmetatbestände, bei welchen vom Grundsatz der starken Kundenauthentifizierung abgewichen werden kann. Die erfolgt insbesondere mit dem Ziel, den Bezahlvorgang für den Zahlungsdienstnutzer u. a. bei kleineren Zahlbeträgen zu vereinfachen:

Die Kreditinstitute müssen insbesondere unter strategischen bzw. geschäftspolitischen Gesichtspunkten entscheiden, welche der Ausnahmen gem. Art. 10 bis 18 EBA-RTS für die einzelnen (Online-)Geschäftsvorfälle genutzt werden sollen.

Besonders „attraktiv“ erscheint dabei zunächst die Anwendung der Transaktionsrisikoanalyse gem. Art. 18 EBA-RTS, da diese auf eine Vielzahl von Geschäftsvorfällen anwendbar ist und mit einem Maximalbetrag von 500 € den weitesten Spielraum zum Verzicht auf eine SCA lässt. Gleichwohl gelten für die Nutzung dieser Ausnahme weitere Anforderungen und es ist einiger Implementierungsaufwand damit verbunden:

  • Implementierung eines Verfahrens zur Echtzeitrisikoanalyse von Transaktionen, welches u. a. das bisherige Ausgaben- und Verhaltensmuster, ungewöhnliche Informationen über Zugriff und Zugangsgerät des Auftraggebers (z. B. Manipulationsverdacht), bekannte Betrugsszenarien und risikobehaftete oder ungewöhnliche Aufenthaltsorte des Zahlers berücksichtigt.
  • Quartalsweise Ermittlung der Betrugsrate des Instituts. Die Betrugsrate soll dabei die in Anhang 2 der EBA-RTS definierten Referenzbetrugsraten nicht übersteigen:

  • Bereitstellung einer umfassenden Überwachungsstatistik, welche sowohl betrügerische als auch ordnungsgemäße Zahlungen hinsichtlich der Kriterien geographische Zuordnung (Inlandszahlung, Zahlung in den europäischen Wirtschaftsraum EWR oder darüber hinaus), Art der Kundenauthentifizierung (starke Kundenauthentifizierung oder Nutzung einer Ausnahme gem. Art. 10 bis 18 EBA-RTS) und Art des Betrugs (unautorisierte Zahlung, Veränderung einer Zahlung oder Manipulation des Zahlers) unterscheidet.

Es muss dabei durch geeignete Verfahren sichergestellt werden, dass eine Nutzung der Ausnahme gem. Art. 18 bei Überschreiten der Referenzbetrugsraten in zwei aufeinanderfolgenden Quartalen verhindert wird. Eine erneute Nutzung ist aber zulässig, wenn in einem weiteren Folgequartal die Referenzbetrugsrate wieder unterschritten wird und eine entsprechende Anzeige bei der Bundesanstalt für Finanzdienstleistungsaufsicht erfolgt.

Mehr Transparenz über Betrugsfälle

Aufgrund der Menge an statistischen Daten, die bei der Nutzung der Transaktionsrisikoanalyse zu Steuerungs- und aufsichtsrechtlichen Zwecken bereitgestellt werden müssen, lohnt es sich, gleichzeitig einen Blick auf die EBA-Leitlinien über die Anforderungen zur Meldung von Betrugsfällen zu werfen. Auch hier sind die Zahlungsdienstleister aufgefordert, umfangreiches Zahlenmaterial zu erheben und in einem halbjährlichen Turnus an die Bundesanstalt für Finanzdienstleistungsaufsicht zu melden.

Betroffen sind dabei neben Überweisungen und kartengebundenen Zahlungsvorgängen auch weitere Zahlungsdienste wie z. B. Lastschriften, Bargeldbezug mit Karte, Finanztransfers und über Zahlungsauslösedienste initiierte Zahlungsvorgänge. Auch hier wird eine Differenzierung der statistischen Daten nach Kriterien wie geographischer Zuordnung, Betrugsmethoden und Art der Authentifizierung verlangt.

Um den Umsetzungsaufwand für die Implementierung der Überwachungsstatistiken gem. der EBA-RTS zur starken Kundenauthentifizierung und der o. g. EBA-Leitlinien möglichst gering zu halten, ist eine konsolidierte Betrachtung der jeweiligen Anforderungen und eine gemeinsame Umsetzung ratsam. Gleichzeitig profitieren die Institute von den neu hinzugewonnenen Daten, da auf dieser Basis eine stärker am Risiko ausgerichtete Kontroll- und Überwachungsmaßnahmen ermöglicht werden.

PSD 2 – Schwerpunktthema in 2019

Die Umsetzung der PSD 2 wird das Zahlungsverkehrsjahr 2019 entscheidend prägen. Dabei stehen die Erhöhung der Sicherheit und die Steigerung der Transparenz über die Risiken von Zahlungsverkehrsprozessen im Vordergrund. Darüber hinaus gibt es für die Institute noch mehr zu tun: Zum Beispiel für die erforderliche Anbindung von Kontoinformationsdiensten, Zahlungsauslösediensten und Drittkartenemittenten an ihre Zahlungsverkehrssysteme (Stichwort: Drittdienstleisterschnittstelle) sind weitere Kapazitäten einzuplanen.

Die mit der Umsetzung der PSD2 verbundenen Risiken sollten sich im Rahmen der Jahresplanungen von Informationssicherheits-, Geldwäsche- und Datenschutzbeauftragten und der MaRisk-Compliance-Funktion sowie der risikoorientierten Prüfungsplanung der Internen Revision entsprechend niederschlagen.

PRAXISTIPPS

  • Prüfen Sie Ihre Authentifizierungsverfahren im Kontext der Anforderungen an die starke Kundenauthentifizierung.
  • Analysieren Sie ihre online verfügbaren Geschäftsprozesse hinsichtlich der Erfordernis einer starken Kundenauthentifizierung und inwiefern die Ausnahmen gemäß Art. 10 bis 18 EBA-RTS in Anspruch genommen werden können.
  • Begleiten Sie die Implementierung der Verfahren zur Nutzung der Transaktionsrisikoanalyse gem. Art. 18 EBA-RTS unter Revisionsgesichtspunkten und beurteilen Sie die Ordnungsmäßigkeit der zu ermittelnden Betrugsraten und Statistikdaten.
  • Aktualisieren Sie die Risikobewertung für das Prüffeld „Zahlungsverkehr“ vor dem Hintergrund der Anforderungen aus der PSD 2 und stellen Sie deren risikoadäquate Berücksichtigung im Prüfungsplan 2019 sicher.

SEMINARTIPPS

Praxisprobleme Kontoführung & Zahlungsverkehr, 26.06.2019, Köln.

Digitalisierung im Konten/-Zahlungsverkehr: Praxis&Prüfung, 26.09.2019, Frankfurt/M.

Beitragsnummer: 70946

Anforderungen an ein angemessenes Berechtigungsmanagement

Die BAIT zeigen den Handlungsbedarf im Zusammenhang mit der Einhaltung und Umsetzung aufsichtsrechtlicher Vorgaben beim Berechtigungsmanagement auf.

Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK

Berechtigungsmanagement als Teil der Unternehmens-Compliance

Die Implementierung risikoorientierter Prozesse und Verfahren im Rahmen der Steuerung von Berechtigungen ist ein kritischer Erfolgsfaktor zur Erreichung einer angemessenen Compliance im Unternehmen. Ein ganzheitliches und rollenbasiertes Berechtigungsmanagement ist erforderlich zur Sicherstellung eines adäquaten Schutzniveaus und damit zur Gewährleistung der Einhaltung der aufsichtsrechtlichen Anforderungen. Genau hier sieht die Aufsicht einen zum Teil erheblichen, Handlungsbedarf und hat die Vorgaben der MaRisk durch die Regelungen der BAIT konkretisiert.

Grundlagen zur Gewährung von Berechtigungen

Berechtigungskonzepte müssen konsistent zum Schutzbedarf der betroffenen Informationen aufgesetzt werden. Dabei sind die Berechtigungen aus fachlicher Sicht streng nach dem Need-To-Know-Prinzip zu vergeben. Die Anforderungen an eine angemessene Funktionstrennung sind zwingend zu beachten. Hierzu ist eine Zuordnung einzelner Berechtigungen zu betrieblichen Funktionen hilfreich. Eine technische Umsetzung der Funktionstrennung ist dabei anzustreben.

Umfang des Berechtigungsmanagements

Im Rahmen des Berechtigungsmanagements sind sämtliche Arten von Berechtigungen zu berücksichtigen. Hierzu zählen sowohl personalisierte als auch nicht-personalisierte und technische Nutzer. Aufgrund ihres erweiterten Berechtigungsumfangs und des damit einhergehenden höheren Risikopotentials sind privilegierte Berechtigungen besonders restriktiv zu vergeben und deren Nutzung zu kontrollieren.

Das Berechtigungsmanagement deckt den gesamten Lebenszyklus von Berechtigungen ab. Es müssen Genehmigungs- und Kontrollprozesse für die Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen aufgesetzt werden. Ein zentrales Berechtigungsmanagement ermöglicht formalisierte und institutsübergreifende Prozesse und eine vollständige Benutzer- und Berechtigungshistorie.

Regelmäßige Rezertifizierungen

Eingeräumte Berechtigungen für Anwender sind regelmäßig dahingehend zu überprüfen, ob sie weiterhin für die Erfüllung der betrieblichen Aufgaben erforderlich sind. Im Rahmen regelmäßiger und risikoorientierter Rezertifizierungen sind auch die zugrunde liegenden Konzepte angemessen auf Anpassungsbedarf hin zu untersuchen. Die Überwachung der Rezertifizierungsprozesse und -ergebnisse erfolgt durch unabhängige Funktionen im Unternehmen (z. B. den Informationssicherheitsbeauftragten).

PRAXISTIPPS

  • Ein umfassendes und risikoorientiertes Berechtigungsmanagement ist erforderlich, um einen angemessenen Schutz Ihrer Unternehmenswerte sicherzustellen.
  • Beachten Sie das Need-To-Know-Prinzip und stellen Sie eine ausreichende Funktionstrennung sicher.
  • Für privilegierte Rechte bestehen besondere Anforderungen an Prüfung, Überwachung und (zeitliche) Limitierung.
  • Der Rezertifizierungsprozess ist risikoorientiert aufzusetzen und beinhaltet sämtliche Bestandteile des Berechtigungsmanagements.

SEMINARTIPPS

IT-Compliance, 04.06.2019, Frankfurt/M.

6. Fachtagung IT-Revision, 05.-06.06.2019, Frankfurt/M.

FCH Fit & Proper VORSTAND: Risikomanagement, 06.05.2019, Berlin.

IT-Risikomanagement aktuell, 08.05.2019, Frankfurt/Offenbach.

Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019, Wiesbaden.

Beitragsnummer: 62190

InstitutsVergV: Prüfung der neuen Regelungen – Auswahl von Themen



Praktische Hinweise zur Prüfung der neuen Regelungen der InstitutsVergV.

Recep, Bay, Prüfer für Interne RevisionssystemeDIIR, CRMA, Leiter Koordination Regulatorik, Bürgschaftsbank Baden-Württemberg GmbH.

I. Einleitung

1. Institutsvergütungsverordnung

Die am 04.08.2017 in Kraft getretene Institutsvergütungsverordnung beinhaltet bankaufsichtsrechtliche Mindestanforderungen für die Vergütungssysteme von deutschen Finanzinstituten. Am 04.08.2017 ist die zweite Novelle der Institutsvergütungsverordnung (InstitutsVergV) in Kraft getreten, um die überarbeiteten „Guidelines on Sound Renumeration Policies“ (EBA/GL/2015/22 vom 21.12.2015) in nationales Recht umzusetzen. Zur Konkretisierung dieser Verordnung hat die BaFin die dazugehörige Auslegungshilfe am 16.02.2018 veröffentlicht. Die Novellierung stellt verschärfte Anforderungen an die Vergütungssysteme der Institute. Die neuen Regelungen erfordern weitreichende prozessuale Anpassungen in den betroffenen Instituten. Die wesentlichen neuen Regelungen betreffen die aufgewertete Stellung der Kontrolleinheiten, Angemessenheit der Vergütungssysteme (Vermeidung von Interessenskonflikten mit Kunden), Dokumentationsanforderungen, Vergütungselemente (Zuordnung aller Vergütungselemente zu fix und variabel, Grundsätze zur Bemessung und Auszahlung von Abfindungen).

Die Regelungen gelten ab sofort für alle Institute, wobei für bedeutende Institute zusätzliche Anforderungen geregelt wurden. Dabei wird den Bereichen Personal, Unternehmenssteuerung, Compliance und Interne Revision eine hohe Bedeutung beigemessen.

Für die Interne Revision in den Instituten bedeutet es nachzuvollziehen, ob die Institute ihre Vergütungssystematik auf Konformität überprüft und die durchgeführten Anpassungen nachvollziehbar dokumentiert ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Aufsichtsprotokoll zum AT 9 – hohe Relevanz für die Interne Revision

Lukas Walla, Berater, FCH Consult GmbH

Die Aufsicht hat das finale Protokoll zum Thema Auslagerungen veröffentlicht. Auch wenn einige Klarstellungen getroffen wurden, bleiben leider weiterhin Fragestellungen offen.

Für die Auswertung von Berichten der Mehrmandantendienstleister ist eine Interpretationshilfe für die Analyse zulässig. Ebenfalls können verbandsgeprüfte Institute sich einer zentralen verbandsseitigen Auswertung bedienen. Dies betrifft ebenfalls die Auswertung von Revisionsberichten des Dienstleisters.

Bedient sich die Interne Revision des Spezialwissens der Konzernrevision ist dies regelmäßig als Auslagerung einzustufen. Anhand einer Risikoanalyse ist zu beurteilen, ob es sich hierbei um eine wesentliche oder unwesentliche Auslagerung handelt. Solche Konstellationen werden derzeit in vielen Häusern noch nicht als Auslagerung eingestuft, weshalb hier zeitnah eine Analyse stattfinden sollte.

SEMINARTIPPS

Prüfung §18/18a KWG-Prozesse: Neue (BauFi)Kreditwürdigkeitsanalyse, 20.05.2019, Frankfurt/M.

Auslagerungen im Fokus der MaRisk und BAIT, 05.12.2019, Köln.

Bezüglich der Risikoanalyse wird seitens der Aufsicht für wesentliche Auslagerungen ein jährlicher Turnus und für unwesentliche Auslagerungen ein Turnus von drei Jahren als angemessen erachtet. Durch die Einbindung der Internen Revision ist diese auch direkt betroffen. Da sonstige Fremdbezüge nicht gleichbedeutend mit einem Nichtvorliegen eines Risikos sind, ist zu prüfen, ob bei den bestehenden Prozessen sonstige Fremdbezüge ausreichend einbezogen werden und ein Urteil hinsichtlich des Risikos möglich ist.

BUCHTIPP

Ritz/Schmitz/Walla (Hrsg.), Risikoanalyse für Auslagerungen in der Kreditwirtschaft, 2018.

Die Wartung entsprechender Software wird regelmäßig als Auslagerung einzustufen sein. Dies ist nicht der Fall, sofern das Institut die Patches selbst einspielt und eine Bewertung hinsichtlich der erweiterten Funktionen und Fehlerbehebungen machen kann. Wie auch in der schon Vergangenheit ist zu prüfen, inwieweit die Revisionssoftware unter den Tatbestand der Auslagerung fällt und welche Risiken hiermit verbunden sind.

Da es keinen Bestandschutz für Auslagerungsverträge gibt, sollte sichergestellt sein, dass das Institut einen vollständigen Überblick über sämtliche Drittleistungen hat und die Verträge den Vorgaben der MaRisk entsprechen.

Beitragsnummer: 60068

Berufs-Ethik in der Internen Revision



Förderung ethischer Grundsätze im Berufsstand der Internen Revision.

Ralf Barsch, FCH Consult GmbH, Geschäftsführer, CIA und Prüfer für Interne Revisionssysteme.

I. Ethikkodex als Basis für vertrauensvolle Revisionsarbeit

Der Ethikkodex gehört neben der Definition zur Internen Revision, den Grundprinzipien und den Standards selbst zu den sogenannten „verbindlichen Leitlinien” der Internationalen Grundlagen für die berufliche Praxis der Internen Revision (IPPF)[1].

Gemäß den Ausführungen zum Ethikkodex in den internationalen Standards für die berufliche Praxis der Internen Revision „beschreibt der Ethikkodex die Prinzipien für und Erwartungen an Einzelpersonen und Organisationen bei der Durchführung von Revisionsaufträgen”. Es wird ausdrücklich darauf hingewiesen, dass es sich hierbei lediglich um Minimalanforderungen an das Verhalten der Betroffenen handelt.

Der Ethikkodex wird als notwendig angesehen, damit das Vertrauen in seine objektive Prüfung (…) begründet werden kann. Er umfasst Grundsätze und Verhaltensregeln für Interne Revisoren, welche nachfolgend kurz dargestellt und erläutert werden.

II. Grundsätze und Verhaltensregeln als Bestandteil des Ethikkodexes

Der Grundsatz der „Rechtschaffenheit von Internen Revisoren begründet Vertrauen und schafft damit die Grundlage für die Zuverlässigkeit ihres Urteils.” Die Verhaltensregeln gehen einige Schritte weiter und erwarten, dass Interne Revisoren

  • ihre Aufgabe korrekt, sorgfältig und verantwortungsbewusst wahrnehmen,
  • ...

    Weiterlesen?


    Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

    Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

    Anmeldung/Registrierung

    Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Berichterstattung der Internen Revision an die Organe



Auswirkungen der MaRisk-Novelle 2017 auf den Quartals- und den Gesamtbericht an den Vorstand und den Aufsichtsrat.

Mario Pries, Wirtschaftsprüfer, AWADO Deutsche Audit GmbH, Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft.

I. Einleitung

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit Schreiben vom 27.10.2017 die finale Fassung der lange erwarteten, überarbeiteten Mindestanforderungen an das Risikomanagement (MaRisk)[1] veröffentlicht. Die überarbeitete Fassung der MaRisk enthält eine Vielzahl von Klarstellungen, die mit der Veröffentlichung sofort in Kraft getreten sind, und darüberhinausgehende, materielle Neuerungen, für die eine Umsetzungsfrist bis zum 31.10.2018 eingeräumt wurde. Die BaFin wurde getrieben durch die internationale Diskussion zum Thema Risikokultur, Regelungen und Leitlinien auf internationaler (insbesondere BCBS 239[2]) und auf europäischer (insbesondere Vorgaben der EBA und EZB) Ebene, die mit dem Rundschreiben in deutsches Recht transferiert wurden[3].

Der Abschnitt „Besondere Anforderungen an die Ausgestaltung der Internen Revision“ (BT 2 MaRisk[4]) hat auch Anpassungen erfahren. Es finden sich Neuerungen in BT 2.2 Tz. 3 (Neuregelung Übergangsfristen bei Mitarbeiterwechsel) und in BT 2.3. Tz. 1 und 2 (Anpassung der Prüfungsplanung und -durchführung) sowie eine Klarstellung in BT 2.4 Tz. 4 (Erweiterung um den Quartalsbericht); BT 2.4 Tz. 6 (Berichterstattung an den Aufsichtsrat) wurde gestrichen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.